首页 > 系统相关 >记一次windows病毒联合排查全过程

记一次windows病毒联合排查全过程

时间:2023-08-04 18:57:07浏览次数:56  
标签:威胁 路径 users windows kerberos Win32 排查 全过程 病毒

8月2日通过态势感知平台,发现大量内部DNS服务器有恶意请求,且告警描述为:试图解析僵尸网络C&C服务器xmr-eu2.nanopool.org的地址,通过截图可以看到,用户每5分钟会定期向目的地址发送3次请求。

针对此域名,我们通过查询微步在线情报,查询该域名为恶意公共矿池

我们前期已经通过日志接入,将DNS的请求日志全部通过syslog服务,传递日志回来,因此可以针对性查找到是谁向dns服务器发起的请求。

通过筛选dns日志,查询域名xmr-eu2.nanopool.org

最后锁定到用户IP:10.200.21.219请求了该恶意矿池

同时通过搜索该IP的告警信息,也同时确认了,该用户有挖矿行为,每分钟都有多次请求公网地址185.221.67.16 port 7000的行为

通过身份认证系统,确认用户信息

找用户——提供专杀工具——杀毒

结果令人苦恼——全零

专杀没办法,碰运气,手动吧


登录用户电脑,先进行用户系统端口监听

netstat -ano

找什么?找到目的地址为外网,且端口为7000的这一条,因为我们之前排查到用户的访问请求端口就是7000,就是上面标记的那一条,然后找到对应PID为7088
拿到PID,就去进程里找进程

你打开的时候可能没有这个7088的PID进程,记住你需要等!进程会反复跳,并且不一定是持续存在的,这个里有个小技巧,按照PID项排序可以更方便你找到他。

我们锁定到了进程是dwm.exe,打开位置为C:\Windows\System32

当时忘了截图,文件被篡改了,现在只能提供正确的截图了,是这样的。有版权,有签名。

以下是dwm.exe挖矿病毒的一些材料:https://virus-removal-guide.net/zh-tw/48590-how-to-remove-a-dwm-exe-miner-infection/

最后找专杀,解决!

还有,专杀结束后,重启电脑,再依次执行以下2条命令(管理员运行cmd)

SFC /scannow
Dism /Online /Cleanup-Image /RestoreHealth


PS:其实除了专杀,我们公司有全员正版EDR,查毒效果也是不错的,只是没有解决这个病毒。(不过我后期分析No.10可能跟这个病毒有关,可能是我们没有重启主机后再查杀,我没给他太多的机会就自己搞定了)

查杀日志:

官网网址: https://edr.sangfor.com.cn
病毒库版本: 20230801123307
操作类型: 用户操作
查杀类型: 全盘扫描
扫描消耗时间: 03:01:31
开始扫描时间: 2023.08.02 15:30:32
结束扫描时间: 2023.08.02 18:32:03
扫描暂停时长(含休眠等导致扫描暂停的情况): 00:00:00
扫描文件总数: 543937
发现威胁总数: 17
处理威胁总数: 17

威胁详情:

NO.1
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: d:\$recycle.bin\s-1-5-21-1557410930-3759912278-2324218772-1001\$rb8xtvs.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.2
威胁名称: Application.Hacktool.KMSActivator.IV
病毒路径: c:\users\kerberos\desktop\heu_kms_activator_ch_v19.6.1.rar
MD5: 0b266ec1535d59e5c61b8c019cb029aa
威胁等级: 低级威胁
处理状态: 已隔离

NO.3
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\*******\pictures\minor policy\yj0rdxl3orfym6parfwh7p4m.exe
MD5: 3b4d4e61450fac8024233963c219f9e3
威胁等级: 高级威胁
处理状态: 已隔离

NO.4
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\jrink451jxgdokypuun9yfd6.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.5
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\ghn_veg1a92oshtgo3vxjzsq.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.6
威胁名称: Dropper.Win32.Agent.V5vq
病毒路径: c:\users\kerberos\pictures\minor policy\blb346rj7jrxpicmusjyum__.exe
MD5: 28f0ec0bc1c78ceae9834cdd5eebb838
威胁等级: 中级威胁
处理状态: 已隔离

NO.7
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\o84r_ldrcogci9fxyltestxj.exe
MD5: 5d08687cfacc2da32db0c2abcdd64d48
威胁等级: 高级威胁
处理状态: 已隔离

NO.8
威胁名称: Infostealer.Win32.Kryptik.V12v
病毒路径: c:\users\kerberos\appdata\roaming\ikfd1jur\s7qk4a.exe
MD5: 9128efc9fad413abbb8913a24803d8a6
威胁等级: 低级威胁
处理状态: 已隔离

NO.9
威胁名称: Trojan.Win32.Tiggre.uyng
病毒路径: e:\安装文档\01sqlprompt\sqlprompt9.1(含P解器v5).rar
MD5: 8b265bf25a228d93983ac5a0e2a7d0d7
威胁等级: 中级威胁
处理状态: 已隔离

NO.10
威胁名称: Heur.BZC.WBO.Boxter.21.308BC78C
病毒路径: c:\windows\system32\tasks\windows subsystem modules\windows subsystem modules
MD5: b58cc38713ff44dbca08d33605c9a328
威胁等级: 低级威胁
处理状态: 已隔离

NO.11
威胁名称: Infostealer.Win32.Kryptik.Vty7
病毒路径: c:\users\kerberos\pictures\minor policy\_61zc798nq__v9vzr4tbhyn5.exe
MD5: d53e7f8f608af887e7e8ef7ab0c689cc
威胁等级: 低级威胁
处理状态: 已隔离

NO.12
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\scbcogwrnodi2jwcr51p4vxt.exe
MD5: 68f4c084be04c797b44247350b6ce1cf
威胁等级: 中级威胁
处理状态: 已隔离

NO.13
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\programdata\microsoft\auzqja\jip.chk
MD5: 6db172bf5be76ae3a6f12adca558aa08
威胁等级: 高级威胁
处理状态: 已隔离

NO.14
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\fggshqfbkvc2lytfoa29x4vy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.15
威胁名称: Trojan.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\cbuqun4oxq_zupmzlsgimpxy.exe
MD5: 897fa2487ee74a170abc3303160afc29
威胁等级: 中级威胁
处理状态: 已隔离

NO.16
威胁名称: Gen:Variant.Lazy.233996
病毒路径: c:\users\kerberos\appdata\local\pip\cache\http\1\7\a\0\9\17a0954e11e6eeebb77 3cb98da308b5e962efc5611b4f221459082cd
MD5: 489df19b9a135eaa8a662eb8cd5d9926
威胁等级: 低级威胁
处理状态: 已修复

NO.17
威胁名称: Ransom.Win32.Save.a
病毒路径: c:\users\kerberos\pictures\minor policy\rxnlmv81toyxzw2yh5wgyep5.exe
MD5: 22fcfd522c1a3ee7f4509821d4b58f5e
威胁等级: 高级威胁
处理状态: 已隔离

查杀结束

标签:威胁,路径,users,windows,kerberos,Win32,排查,全过程,病毒
From: https://www.cnblogs.com/Magiclala/p/17606763.html

相关文章

  • RTSP/Onvif视频服务器LntonNVR(源码版)平台在Windows系统中使用挂载盘的具体操作流程
    LntonNVR平台默认的录像存储位置在LntonNVR/mediaserver/data/hls中,若用户有其他需求,也可以修改存储路径,将录像文件存储在其他指定的磁盘。具体可参照这篇文章:【操作教程】新内核版LntonNVR如何更改录像文件的存储位置?有用户反馈,录像文件更改存储路径后,存储录像文件的时间核对不上,......
  • Windows校验文件MD5和SHA值的方法
    1、需求背景下载或传输文件后,需要计算文件的MD5、SHA256等校验值,以确保下载或传输后的文件和源文件一致2、校验方法如上图所示,可以使用Windows自带的certutil命令来计算一个文件的校验值命令格式为:certutil-hashfile文件名校验值类型certutil命令支持的校验值类型......
  • JetBrains RubyMine 2023.2 (macOS, Linux, Windows) 发布 - 最智能的 Ruby 与 Rails
    JetBrainsRubyMine2023.2(macOS,Linux,Windows)发布-最智能的Ruby与RailsIDE请访问原文链接:https://sysin.org/blog/jb-rubymine-2023/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgJetBrainsRubyMine-最智能的Ruby与RailsIDE为什么选择RubyMi......
  • JetBrains Rider 2023.2 (macOS, Linux, Windows) - 快速且强大的跨平台 .NET IDE
    JetBrainsRider2023.2(macOS,Linux,Windows)-快速且强大的跨平台.NETIDE请访问原文链接:https://sysin.org/blog/jb-rider-2023/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgJetBrainsRider-快速且强大的跨平台.NETIDERider是什么?JetBrainsRider......
  • windows环境配置使用nginx
    解压下载的压缩包,目录中不要存在中文及特殊字符。CMD中切换到对应目录,startnginx即可。可以使用tasklist/fi"imagenameeqnginx.exe"查看验证MicrosoftWindows[版本10.0.19045.2251](c)MicrosoftCorporation。保留所有权利。C:\Users\tianshuai01>d:D:\>cdnginx......
  • Windows运行命令之netstat命令详解
    一、简介netstat命令显示处于活动状态的TCP连接、计算机正在侦听的端口、以太网统计信息、IP路由表、用于IP、ICMP、TCP和UDP协议的IPv4统计信息和IPv6统计信息(IPv6、ICMPv6、TCPoverIPv6和UDPoverIPv6协议)。使用没有参数的情况下,此命令显示活动TCP连接。 二、命令示例1、nets......
  • windows redis集群搭建
    一、安装5.0以后版本的链接:https://pan.baidu.com/s/1uXj_46ausPASNjDMxbNAQQ提取码:egpf二、准备多个redis环境1、新建一个父文件夹(例如:redis-cluster)2、将redis安装目录拷贝多份,放到二级目录,并分别以端口号命名 3、编辑每个环境的redis.windows.conf文件内容 4、进......
  • 解读 --- System.Windows.Forms.Timer是前台线程吗?
    引言今天同事问了我一个问题,System.Windows.Forms.Timer是前台线程还是后台线程,我当时想的是它是跟着UI线程一起结束的,应该是前台线程吧?我确实没有仔细研究过他们的异同,所以带着这个疑问探究一下System.Windows.Forms.Timer。System.Windows.Forms.Timer机制System.Windows.F......
  • 一次JVM内存溢出的排查经过
    文章目录一、背景二、解决办法三、总结一、背景高峰将至,系统访问量进入高峰期。随之系统出现了异常:java.lang.OutOfMemoryError:unabletocreatenewnativethread。在解决这个问题中,尝试了各种方法,最后竟然是因为它…二、解决办法1、关于这个问题,一开始猜想是因消息队列(acti......
  • Windows搭建ELK教程
    ELK由ElasticSearch(ES)、Logstash和Kiabana三个开源工具组成 1首先下载如下:分别去https://www.elastic.co/downloads/下载上面三个windows的安装包,以为Logstash依赖ES服务,Kibana依赖Logstash和ES,所以安装和启动顺序分别为:ES->Logstash->Kibana  2安装配......